세상, 그 유쾌한 전장

MRG : Ongoing early life testing project - 초기 진단 능력 비교 테스트

물여우 — Thu, 12 Nov 2009 00:26:12 +0900

신MRG의 새로운 테스트인 사전 진단 테스트에 대해서 알아봅니다.

저는 보안 전문가가 아니며 보안에 대하여 전문적이고 기술적인 지식을 지니고,
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.

출처 : MRG Forum

1. 테스트 정보

먼저 테스트 결과를 보겠습니다.

Bluepoint Security	PASSED
Immunet Protect Beta	FAILED
Panda cloud Beta	FAILED
Prevx	FAILED
A-Squared Anti-Malware	PASSED
Avira AntiVir	PASSED
Kaspersky Antivirus	PASSED
Microsoft Security Essentials	FAILED
Nod32	FAILED
IOBit Security 360	FAILED
Malwarebytes Anti-Malware	FAILED

MRG에서 이번에 새롭게 시도한 테스트인 "Ongoing early life test"는 적절한 한글 번역을 찾지 못했습니다. "초기 진단 능력 테스트, 또는 사전 진단율 테스트" 로 의역하면 내용상 비슷하긴 합니다.

사실 이 테스트는 기본적으로 클라우딩 진단 기능을 주 진단 기능으로 하는 제품과 전통적인(?) 진단 기능(기본 DB, 휴리스틱 진단 등)을 주 기능으로 하는 제품간의 비교 테스트입니다. 따라서 맥아피의 아르테미스처럼 제품 내에서 추가적인 진단 용도로 쓰이는 경우는 테스트에서 제외된 것으로 보입니다.

테스트에 대해 간략하게 설명하면 아래와 같습니다.

최근들어 가장 많이 유포되는 게임/개인 정보 유출 악성코드인 Trojan 류들은 최초 배포 시점과 배포가 끝나는 기간이 매우 짧습니다. 이런 악성코드들은 길어야 일주일이고 보통 1~3일이면 배포가 중지되고 새로운 변종이 유포됩니다. 그래서 뒤늦게 신고 또는 수집을 통해 보안 업체에서 해당 샘플을 DB에 적용시키면 이미 배포가 끝나거나 거의 종료되는 시점에 이르게 되는 경우가 많아 DB의 숫자만 늘릴 뿐 실질적으로 의미가 없는 진단값이 되곤 합니다.

즉, 최근들어 극성을 부리는 상당수의 악성코드들은 활동하는 생명 기한이 매우 짧습니다. 따라서 보안 업체의 대응 속도보다 빨리 유포되고 사라지는 악성코드들에 대항하기 위해서 어느 때보다도 사전 진단 기능의 수준을 높이는 것이 중요해진 시점입니다.

이를 위해 여러가지 기능들이 도입되고 있는데, 그 중에서도 최근에 각광을 받고 있는 것이 클아우드 기술을 이용한 진단 기능입니다. 이는 맥아피의 아르테미스나 안랩의 ASD같은 기능에 이미 사용되고 있습니다. 이와는 다소 다르지만 노턴의 경우도 최신 버전에서 평판 시스템에 클라우딩 기능을 도입, 악성코드 진단에 효과적으로 사용하고 있습니다.

"Ongoing early life test" 이러한 클라우딩 진단 기능과 전통적인 방식의 진단 기능을 가진 제품의 초기 진단 성능 비교를 위해 수명이 짧은 악성코드를 이용하여 진단율 테스트입니다.

2. 테스트에 사용된 제품 정보

▶ The cloud based Anti-Malware products : 클라우딩 진단 기능 포함 제품

Bluepoint Security 1.0.0.75
Immunet Protect Beta 1.0.18
Panda cloud Beta 3
Prevx 3.0.5.10

▶ The traditional Anti-Malware products : 일반 진단 기능 포함 제품 (비교군)

A-Squared Anti-Malware 4.5.0.27
Avira AntiVir Premium 9.0.0.447
Kaspersky Antivirus 9.0.0.736
Microsoft Security Essentials 1.0.1611.0
Nod32 4.0.468

▶ The complementary Anti-Malware products : 보완 목적의 보안 제품 - 참고 테스트

IOBit Security 360 1.20.10
Malwarebytes Anti-Malware 1.41

3. 테스트 방법

테스트 방법은 기본적으로 이전 MRG 테스트와 동일합니다.

윈도우(XP SP3) 설치 후 복구 이미지를 생성하여 보안 제품으로 진단 테스트 후 이미지를 통해 윈도우를 처음 상태로 되돌리고, 이후 반복적으로 테스트를 진행합니다.

사용한 악성코드는 2009년 11월 6일날 다운받은 50개의 샘플을 이용하였으며, 실시간 감시와 수동 검사등 악성코드 진단을 위한 시그니처 기능을 모두 사용합니다. 행동기반 탐지 기능을 이용한 진단은 이용하지 않은 것으로 보입니다.

여하튼 50개의 샘플을 모두 진단하면 PASSED, 하나라도 진단에 실패하면 FAILED로 처리됩니다.

MRG에서도 밝히고 있듯이 테스트 샘플이 매우 적다는게 큰 단점입니다.

4. 테스트 세부 결과

▶ The cloud based Anti-Malware products : 클라우딩 진단 기능 포함 제품

Bluepoint Security 1.0.0.75 - PASSED
Immunet Protect Beta 1.0.18 - FAILED (missed 1 sample)
Panda cloud Beta 3 - FAILED (missed 1 sample)
Prevx 3.0.5.10 - FAILED (missed 2 samples)

▶ The traditional Anti-Malware products: 일반 진단 기능 포함 제품

A-Squared Anti-Malware - PASSED
Avira AntiVir - PASSED
Kaspersky Antivirus - PASSED
Microsoft Security Essentials - FAILED (missed 11 samples)
Nod32 - FAILED (missed 5 samples)

▶ The complementary Anti-Malware products : 보완용 제품

IOBit Security 360 - FAILED (missed 49 samples)
Malwarebytes Anti-Malware - FAILED (missed 5 samples)

테스트 상으로는 전통적인 진단 방식에 비해 클라우딩 진단 기능을 주 진단 기능으로하는 제품들이 다소 성능이 떨어지는 것으로 나타났습니다. 물론 샘플 수가 매우 적기 때문에 테스트 자체에 큰 의미를 둘 수는 없습니다만, 최근에 선보인 Immunet이나 Bulepoint 같은 클라우딩 이용 제품들은 전통적인 보안 제품을 대체할 만큼의 수준은 안된다는 것 정도는 알 수 있을 것 같습니다.

개인적으로 MRG의 테스트들을 잘 보고 있는데 이번에 소개한 테스트도 나름 의미가 있다고 생각합니다. 특히, 수명이 짧은 악성코드만을 따로 분류하여 초기 진단 능력을 테스트한 경우나, 클라우딩 진단 기능과 전통적인 진단 기능간의 비교 테스트를 하는 경우는 이 테스트가 유일하기 때문입니다.

MRG 자체가 규모가 작고, 전문적인 인력이 운영하는 단체는 아니다보니, 테스트 자체가 좀 신뢰적이지는 못하지만 다양한 테스트와 리뷰를 제공하기 때문에 유용한 정보가 많은 것 같습니다.

- 이상입니다.

Panda Internet Security 2010 리뷰 (5) - 기타 보안 기능

물여우 — Tue, 10 Nov 2009 23:18:57 +0900

판다의 파일 실시간 감시 등 전통적인 악성코드 진단 기능 외에 추가적인 시스템 보호 기능에 대해서 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.

▶ Panda Internet Security 2010 리뷰 모음

(1) 개요 및 설치 환경

(2) 메인 화면 및 트레이 UI

(3) 악성코드 진단/치료
- 실시간 시스템 감시 : ① 정식 진단 ② 의심 진단
- 수동 검사

(4) 방화벽(Firewall) : ① 네트워크 규칙 설정 ② 네트워크 모니터 등 기타 기능

7. 개인 정보 보호 - Indentity Protection

통합형 제품에 종종 추가되어 있는 개인 정보 보호 기능은 주민 등록 번호, 온라인 뱅킹 계좌 번호, 사용자 로그인 ID/패스워드 등 다양한 정보들이 사용자의 동의없이 외부에 유출되는 것을 차단하는 기능입입니다. 개인 정보 유출을 차단하는 방식은 보통 사용자의 네트워크를 감시하고 있다가 사용자 시스템에서 보호하려는 문자열을 가진 패킷이 감지되는 경우 차단하는 경우가 대부분입니다.

보안 업체에서 홍보하는 것처럼 그리 완벽하지는 않아서, 보통 암호화하거나 압축하지 않은 상태로 정보가 빠져나갈 경우에만 유용하기 때문에 실제 사용 범위가 좁긴 합니다.

판다의 개인 정보 보호 기능에는 위와 같은 기능 외에도 피싱 사이트같은 위험 사이트의 차단 기능 및 다이얼러에 의한 전화 연결 차단 기능이 같이 포함되어 있습니다.

7-1. 정보 유출 차단

개인 정보 유출 차단 기능은 사용자들이 보호해야할 항목들을 스스로 직접 입력을 해야합니다.

위 메인 환경 설정창에서 개인 정보 유출 차단 기능의 환경 설정을 클릭하면 아래와 같이 보호할 개인 정보를 추가/삭제 등 관리할 수 있는 창이 활성화됩니다.

개인 정보 유출 차단 기능 설정창

"Add..." 버튼을 클릭하게되면 아래와 같이 개인정보를 입력할 수 있습니다.

개인 정보 입력창

UI상으로 실제 정보는 아래 작은 박스에 기입되고 해당 정보에 대한 설명을 하는 부분은 중심을 차지하고 있는데, 두 항목의 위치와 크기를 바꾸면 좀 더 직관적이지 않을까 합니다.

기입된 개인 정보가 유출되는 것을 감지하면 아래와 같은 처리창이 나타납니다.

개인 정보 유출 차단 처리 팝업창

허용을 누르면 바로 외부에 전송이되지만 차단을 클릭하면 아래와 같이 비정상적으로 페이지가 끝나게 됩니다.

차단을 원하는 경우 페이지가 비정상으로 끝나도 별 문제가 없는데, 일부 웹사이트에서는 사용자 가입자 창에서 개인 정보를 기입하고 전송할 때, 허용/차단 여부와 상관없이 페이지 오류가 나는 경우가 있습니다.

개인 정보 유출 차단 기능은 피싱 공격같은 사용자가 직접 개인 정보를 입력한 것을 빼돌리는 경우에는 큰 의미가 없고, 개인적인 실험에서 키로거나 기타 정보 유출 악성코드들이 유출하는 경우 제대로 차단이 되지 못하기에 사용상의 이점이 그리 크다고는 생각 되지 않습니다.

7-2. 위험 사이트 차단

위험 사이트 차단 환경 설정창

(1) 위험 사이트 진단 휴리스틱 민감도 설정

판다에서 말하는 위험 사이트는 성인, 도박등 유해 사이트, 피싱 사이트, 허위 보안 제품 등의 스파이웨어 유포 사이트 등 다양한 종류를 진단/차단합니다. 특히, 웹사이트 진단을 위해서 기본적으로 같고 있는 DB외에 휴리스틱 기능을 추가적으로 제공하는데 "높음/중간/낮음" 등 3단계의 설정이 존재합니다.

해당 기능을 제대로 사용해본 것이 아니긴 합니다만 "높음" 상태인 경우 다소 웹사이트를 오진하는 경우가 있는 것 같습니다.

(2) 허용/차단 사이트 관리

"Settings..." 버튼을 클릭하면 아래와 같이 허용/차단할 사이트 관리 창이 활성화됩니다.

허용/차단 웹사이트 관리

기본적으로 허용/차단 설정이 DB 및 휴리스틱 진단보다 우선적으로 적용되기 때문에 혹 오진되는 사이트의 경우 여기서 허용을 해주면 됩니다.

판다의 위험 사이트 차단 기능은 기본적으로 한글을 지원하지 않기에 국내 사이트들을 많이 이용할 경우 효용성이 떨어집니다. ㅠ-ㅠ

7-3. 허락되지 않은 전화 연결 차단

비허용 전화 연결 차단

다이얼러(^[각주:1])류의 악성코드가 악의적인 목적으로 거는 전화 연결을 차단하는 기능입니다.

이 기능은 사용자가 입력한 연결을 허용할 전화 번호 외에 다른 번호로 연결이 시도되면 사용자에게 허용/차단 처리창을 보여줍니다.

다이얼러에 대한 공격은 국내에서는 의미가 없다고 할 수 있습니다만, 외국 제품 상당수가 2010판 최신 버전에도 해당 기능을 포함시키고 있는 등 외국에서는 여전히 문제가 되는 것 같습니다.

8. 취약점 검사 - Vulnerabilities

취약점 실시간 검사

이 기능은 이전에 수동 검사 기능에서 소개한 취약점 검사 기능과 유사합니다. 차이점은 수동 검사 방식이 아닌 실시간방식으로 사용자 시스템의 취약점을 탐지하는 기능입니다.

그러나 USB등의 자동실행 기능이나 윈도우 업데이트, 기타 프로그램들의 구버전 사용 등으로 인한 취약점이 존재하지만 사용자에게 알려주지는 않는 것 같습니다.

이 문제가 한글판 OS에서는 제대로 작동하지 않기 때문에 발생하는 것인지, 다른 용도의 기능이기 때문인지는 알 수가 없습니다.

9. 스팸 차단 - Anti Spam

스팸 메일 차단 기능

POP3, 또는 SMTP 등을 이용하여 메일을 수신/전송하는 아웃룩과 같은 메일 클라이언트에 사용되는 스팸차단 기능입니다. 요즘에는 웹메일에서 POP3/SMTP 등을 지원하는 경우가 많아 점차적으로 메일 클라이언트 프로그램의 사용자들이 늘어나는 추세입니다. 메일 클라이언트를 사용하는 경우 보안 제품의 스팸 차단 기능을 사용하면 좀 더 효과적이지 않을까 합니다.

판다의 스팸 차단 기능은 다른 기능들과 마찬가지로 매우 간단하게 구성되어 있습니다. 카스퍼스키를 비롯한 일부 제품들처럼 자기 학습 기능같은 고급 기능은 아예 제외되어 있고 자체적인 알고리즘과 신뢰 리스트에 따라 스팸/비스팸을 나누는 수준입니다.

위의 그림처럼 신뢰 리스트에 메일 계정을 등록하면 해당 계정에서 보내는 메일은 판다에서 스팸 검사를 건너 띕니다.

(1) 정상 메일의 송신자 신뢰 리스트에 포함 처리 설정

스팸 차단 기능에서 정상 메일이라고 진단한 경우 신뢰 리스트에 포함하는 것에 대한 처리 방법을 설정합니다. 기본적으로 "자동"으로 해두시면 편하긴 한데 스팸 차단 기능들이 완벽한 것은 아니기 때문에 종종 신뢰 리스트를 확인하셔야 합니다.

신뢰 리스트만 존재하고 차단 리스트가 존재하지 않는 이유는 스팸 메일을 보내는 계정들이 워낙 많고 생존 기간이 짧아 계속 변경되기 때문입니다.

10. 웹 사이트 사용자 관리 - Web Content Control

다른 제품에서는 유해 사이트 차단 기능이라고 의역 하곤 했는데 좀 더 의미를 확장시켜서 웹사이트 사용자 관리 기능이라고 번역을 했습니다. 저처럼 컴퓨터를 혼자 사용하는 경우는 별 필요가 없는 기능이지만, 어린 자녀가 포함된 가정에서 사용되거나 업무자들의 사이트 접속을 차단/관리할 때 유용하게 사용됩니다.

사이트 사용자 관리 기능의 환경 설정에 들어가기 위해서는 먼저 판다 설치시에 만들었던 관리자 암호를 기입해야 합니다.

관리자 암호 입력

암호를 기입하면 아래와 같이 웹사이트 사용자 관리 기능의 환경 설정을 볼 수 있습니다.

웹사이트 사용자 관리 환경 설정

이 기능은 판다의 전 기능 중에서 유일하게 다소 복잡한 세부적인 설정을 갖고 있습니다.

(1) 관리 대상에 따른 필터링 설정 추가/삭제/수정

먼저 관리할 대상에 따른 필터링 설정을 살펴보겠습니다. 위 그림에서 "New..." 버튼을 클릭하면 아래와 같이 설정창이 활성화됩니다.

필터링 대상 설정

필터링 부분은 아래에서 자세히 살펴보겠습니다.

(2) 필터링 설정/추가 설정

메인 환경 설정에서 빨간 박스 부분의 "Filters..." 항목은 필터링에 대한 환경 설정입니다.

필터링 설정

기본적으로 구성된 필터링 대상은 "기본 설정/고용인/어린이/청소년/필터링 제한 없음" 등 5가지입니다.

기본 설정은 매우 적은 항목만이 추가되어 있으며, 어린이 항목이 가장 많은 제한을 갖고 있습니다.
다른 제품과 달리 개인용 제품임에도 "Employee" 항목이 존재한다는 것이 다소 특이합니다. 아마 소규모 기업장에서 사용되는 기업용 제품과 큰 차이가 없기 때문에 추가된 것으로 보입니다.

아래처럼 "Edit..." 버튼을 통해 세부적인 필터링 설정을 할 수 있습니다.

필터링 세부 항목

이전에 안티버를 리뷰하면서 안티버의 웹사이트 사용자 관리 기능의 필터링 항목들을 보고 대단하다 생각했는데 판다도 상당히 세부적인 부분까지 설정이 가능합니다. 앞서 말한 것처럼 기업용 제품과 동일한 기능을 제공하기에 관리 항목이 많은 것으로 보입니다.

IT 부분에는 프록시 관련 차단 항목도 존재하며, 개인 홈페이지, '잡코리아' 같은 직업 찾기 사이트 차단 등 다른 제품에서 찾아보기 힘든 항목들이 존재합니다. 고용인들이 이런 사이트들에 접속하는 것을 고용주가 꽤나 싫어하나 봅니다. ^^;;

웹사이트 사용자 관리 기능은 기본적으로 블랙리스트 기반으로 동작합니다. 즉 DB에 포함된 항목만을 차단하게 됩니다. 따라서 판다에서 알지 못하는 사이트일 경우 관리되지 못하는 경우가 생겨날 수 있는데 두 번째 항목인 "Other Settings..." 을 이용하여 관리할 수 있습니다.

허용/차단 사이트 설정

위 항목은 차단, 아래 항목은 허용 사이트를 관리합니다.

사용자가 직접 작성한 차단 사이트나 판다의 필터링 항목에 포함된 사이트에 접속하게 되는 경우 아래와 같이 앞서 설정한 사용자 암호를 물어보게 됩니다.

암호 질문창

여기서 암호를 입력하면 바로 통과되고 잘못된 암호가 입력되면 아래와 같은 표시와 함께 웹사이트 진입이 차단됩니다.

잘못된 암호

차단된 사이트 모습

이왕 분홍색 계열로 화면을 꾸몄으면 좀 더 이쁜 분홍색이 좋지 않았을까 합니다. :)

다른 제품들과 달리 판다의 웹사이트 사용자 관리 기능은 인터넷 사용 시간 등을 조절하는 기능이 없습니다. 이왕 웹사이트 접속을 관리한다면 아예 인터넷 접속 시간도 관리하는 것이 좋을 텐데 이 부분은 다소 아쉽습니다.

그리고 한번 암호를 잘못 입력하면 바로 차단이 되기 때문에 암호를 올바르게 재입력해도 사이트에 접속이 불가능하다는 것도 문제입니다.

(3) 설정된 카테고리에 존재하지 않는 나머지 사이트 모두 차단 기능

앞서 설명한 것처럼 웹사이트 사용자 관리 기능은 블랙리스트 기반으로 동작하는데, 판다에서 구분해둔 카테고리에 포함되지 않는 사이트들을 차단하는 기능입니다.

개인적으로 판다에서 설명하는 것처럼 카테고리를 기준으로 사이트를 구분하는 것인지, 단순히 사이트 DB내에 없는 경우 차단하는 것인지 궁금합니다.

여하튼 해당 기능을 활성화 시키면 국내 사이트들은 제가 살펴본 봐로는 거의 다 차단됩니다. ㅜ-ㅜ

이상으로 판다의 기타 보안 기능에 대해서 살펴봤습니다. 파일 실시간 감시나 방화벽 등 전통적인 보호 기능외에 존재하는 모든 보호 기능을 한꺼번에 다루었습니다.

많은 내용을 한꺼번에 다룬 이유는 판다의 환경 설정이나 UI가 워낙 단순하기 때문에 그렇기도 하지만, 개인적으로 잘 사용하지 않는 기능들이기 때문에 리뷰 내에서의 중요성이 떨어지기 때문이기도 합니다.

여하튼 오랜만의 리뷰였습니다. ^^

이상으로 판다의 "기타 보안 기능"에 대한 리뷰를 마칩니다.

모뎀 등을 이용한 PC 통신을 하는 시스템에서 사용자 몰래 고비용의 유료 서비스를 연결하여 돈을 갈취하는 악성코드 [본문으로]

BullGuard Internet Security 1년 라이센스 무료 이벤트

물여우 — Tue, 03 Nov 2009 21:39:51 +0900

덴마크 산 보안 제품인 BullGuard의 무료 프로모션 소식입니다.

출처 : Gizmo's Freeware

불가드 제품을 생각하면 강렬한 빨간색을 바탕으로한 간단하게 구성된 UI가 떠오릅니다. 덴마크의 로컬 업체인지라 국내에서는 보기가 매우 어려운 제품 중 하나입니다.

프로모션에 참여하는 방법은 아래와 같습니다.

11월 5일 00시부터 11월 6일 24시까지 아래 링크의 체험판 다운로드 페이지에서 받는 체험판은 2개월짜리 체험판이 아닌 1년 정식 라이센스가 포함된 설치본이라고 합니다.

PST 기준인데 대략 한국 시간으로는 6일 오전/오후 경에는 확실하게 다운 받을 수 있을 것 같습니다.

클릭 : 다운로드 링크

윈도7 지원과 함께 64비트를 정식으로 지원합니다.

참고로 다운로드 속도가 매우 느리므로 Orbit같은 다운로드 프로그램을 이용하시면 더욱 좋을 듯 합니다.

프로모션에 사용되는 불가드는 최신 버전으로 비트디펜더 안티 바이러스 엔진과 아웃포스트의 방화벽이 통합된 제품으로 상당히 좋은 조합을 가진 제품이라고 생각합니다. 제가 사용을 안해본 제품인지라 정확한 정보가 없어서 아웃포스트의 호스트 보호 기능까지 추가되어 있는지는 잘 모르겠습니다. 호스트 보호가 없으면 앙꼬없는 찐방이 될 수 있습니다만, Biginner 모드와 Advanced 모드가 나뉘어 있다고 혹시나 하는 생각을 해봅니다.

국내에서 아주 흔한(-_-;;) 비트디펜더 엔진이기에 다소 흥미가 떨어질 수 있지만 비트디펜더에 아웃포스트 조합이라고 하면 사실 좀 뭔가 달라보이기도 합니다. ㅎㅎ

참고로 위 프로모션에서 제공하는 1년 라이센스는 정식 라이센스로 해당 제품의 온라인 백업을 비롯한 모든 기능을 사용할 수 있습니다. 현재 알약이 64비트를 제대로 지원하는 것이 아니기 때문에 비트디펜더 엔진과 아웃포스트 방화벽을 64비트에서 함께 사용하고자 하는 분에게는 아주 유용한 프로모션 같습니다.

- 이상입니다.

덧 : 요즘엔 이런 포스팅만 올리는 것 같습니다. ㅠ-ㅠ

Hotmail 계정의 악성코드 유포 메일..

물여우 — Mon, 02 Nov 2009 23:25:15 +0900

아직도 핫메일 계정에는 악성코드 유포 메일이 지속적으로 날라오는 군요. 핫메일 계정을 관리하기 위해 들어갔다가 요즘도 지속적으로 날라오는 유포 메일이 있어서 잠깐 적어봅니다.

위와 같은 악성코드 유포 메일이 관련이 있는 지는 정확하게 모르겠지만 핫메일 계정 등 다양한 메일 계정이 대량으로 유출되었다는 소식이 있었습니다. 유출 방법을 보면 위의 메일과는 상관없을 수도 있겠네요.

여하튼 개인적으로는 보안에 나름 충실했다고 생각하고 있었기 때문에 이런 정보 유출은 남의 일이라 생각하고 있었는데... 결과적으로는 유출이 되었습니다. ㅠ-ㅠ.

해당 계정은 요즘엔 거의 안 쓰이기 때문에 유출 사실을 제가 먼저 안 것도 아니고 채팅방에서 벌새님의 이야기를 듣고서야 알게 되었습니다. 급하게 MSN 계정으로 사용되는 핫메일 계정을 가보니 난리더군요. 해당 MSN 계정은 소수의 친구들과 바제2 카페 회원분들만 등록된 상태지만, 전혀 모르는 이메일 주소에도 발송된 것을 보면 생각보다 많은 분들에게 보내진 것 같습니다.

알아본 결과 다행히 악성코드로 인한 메일 발송임을 모두 알고 알아서 처리하신 것 같습니다만, 상당히 부끄럽습니다. 저때문에 문제가 발생되어 귀찮게 한 점 다시 한번 사과드립니다.
(친구들에게는 한 소리를 들었습니다. 평소에 잘난체 하더니 결국은 이렇다는 둥 -_-;;;)

개인적으로는 제 메일 계정이 어디서 어느 때에 유출되었는지를 잘 모르겠습니다. 해당 계정은 자주 쓰는 계정도 아니고, 1년도 전에 PC방 등에서 메신져 사용을 위해 잠깐 사용하는 것 말고는 거의 집에서 사용된 것인지라 유출되기가 쉽지는 않은데 참 아리송 합니다. 특히나 어지간하면 아포나 코모도가 깔려져 있을 때가 많은데 대체 어디서 문제가 발생된 것인지...

일단은 다른 분의 악성코드 유포 메일을 살펴보다가 감염이 된 것이 유력한 유출 경로라고 생각합니다. 살펴보면 위와 같은 메일을 8월 경에 처음 받았는데 해당 메일의 링크를 분석해보겠다고 하다가 감염된 것은 아닌가 합니다. 이리저리 철벽 방어를 해도 어딘 가에는 빈틈이 있고, 사용자의 실수로 인해 악성코드에 감염될 수 있다는게 역시 사실인 것 같습니다.

뭐...실력도 없는 주제에 가상 PC도 아닌 주 호스트 PC에서 실험을 하니... 문제가 안 생길래야 안 생길 수가 없는데 무슨 생각으로 한 건지 저도 잘 모르겠습니다. 그나마 보안 제품 리뷰를 위해 한달에 한번은 포맷을 하고, 다양한 보안 제품을 설치하여 사용하다보니 감염된 상태로 지내는 것은 피한 것 같습니다.

혹시라도 제 글을 보는 분들도 각자의 메일 계정을 한번 둘러보시고, 특히 잘 안쓰이는 계정이 있다면 이번 기회에 꼭 살펴보시기 바랍니다. ^^;;

AV-Comparatives Malware Removal Test : 악성코드 치료 성능 테스트

물여우 — Sat, 24 Oct 2009 20:25:50 +0900

AV-Comparatives에서 보안 제품들의 악성코드에 감염된 시스템을 치료하는 능력에 대한 테스트 결과를 발표하였습니다.

저는 보안 전문가가 아니며 보안에 대하여 전문적이고 기술적인 지식을 지니고,
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.

오스트리아에 위치한 유명 보안 연구 단체인 AV-Comparatives에서 일반 사용자용 보안 제품의 치료 성능 테스트를 실시하였습니다.

개인적으로 보안 제품의 기본적이면서도 가장 중요한 역활은 악성코드에 대한 사전 진단이라고 생각합니다. 그러나 현실적으로 보안 제품에서 모든 악성코드를 진단할 수 없는게 사실이고, 이미 진단하고 있는 악성코드의 경우에도 사용자의 실수나, 제로데이 공격에 의해 사용자 시스템이 감염되는 경우가 많이 발생하고 있습니다.

특히, 최근에 극성을 부리는 허위 보안 제품들이나 웜, 봇처럼 스스로를 은폐하여 진단을 회피하거나 시스템의 주요 설정 등을 변경하고 보안 제품마저 비활성화 시키는 등 일단 감염되면 사용자가 쉽게 정상 상태로 복구시키기 어려운 경우가 매우 많아 보안 제품의 치료 능력은 또 하나의 중요한 성능 판단의 기준이 될 것입니다.

이번 AV-Comparatives에서는 와일드 리스트 샘플과 함께 광범위하게 퍼진 악성코드 중 10개를 선택하여 테스트에 임하였습니다.

참고로 개인적으로는 보안 제품의 '치료'란 악성코드가 시스템에 영향을 준 모든 요소를 제거 또는 정상상태로 복구하는 것이라고 정의합니다. 치료 성능 테스트라 번역한 Malware Removal test 또한 해당 악성코드를 단순히 제거하는 것 뿐만 아니라 레지스트리 변경, 일부 파일 변조 등 다양한 변경 사항을 얼마나 제대로 복구하는지를 테스트한 것입니다.

▶출처
- http://www.av-comparatives.org
- http://www.av-comparatives.org/images/stories/test/removal/avc_removal_2009.pdf
(세부 정보 링크)

1. 테스트 결과

출처 : http://www.av-comparatives.org

세부 정보는 위 PDF 파일 링크를 참고 바랍니다.

Escan 제품은 비록 두 개의 샘플 제거에 실패하였지만 다른 샘플들은 완벽한 치료하여 제거하고 있습니다. 오래 전부터 치료 능력이 뛰어나다 평가받은 노턴이나 카스퍼스키도 좋은 결과를 보여주고 있습니다. 의외인 것은 비트디펜더인데 비트디펜더도 자동 분석 시스템에 의한 Generic 진단값이 많은 제품이다 보니 치료 성능은 큰 기대를 하지 않았는데 비교적 좋은 성능을 보이고 있습니다. 아마도 테스트 샘플이 비교적 널리 퍼지고 분석이 완료된 샘플이다보니 제너릭 진단이 아닌 정식 진단된 경우이기 때문이 아닐까 합니다.

또한 MS의 무료 제품의 기반 엔진으로 쓰이는 Onecare 제품도 좋은 결과를 받았는데 최근에 정식 버전이 나타난 무료 제품은 지역별 대응 능력만 좀더 강화된다면 상당히 매력적인 제품이 아닐까 합니다.

역시나 Eset, Antivir 같은 제품들은 사전 진단 능력에 비해 다소 떨어지는 치료 성능을 보이고 있습니다. 애초에 사전 방역을 위한 휴리스틱 진단에 중심을 둔 제품들이다보니, 매우 잘 알려진 샘플에 대해서도 치료에 부족한 부분이 보이는 것 같습니다.

KingSoft의 경우 중국의 대표적인 제품 중 하나인데 여러 모로 안타까운 경우가 많습니다. 이리 치이고 저리 치여도 테스트에 꼭 참가하는 것 자체가 대단한 것 같습니다.

2. 세부 정보

1. 테스트 샘플

테스트에 쓰인 샘플이 적어서 다소 아쉽지만 특별한 악성코드를 제외하고는 악성코드들의 시스템 변경 사항은 일종의 패턴이 있기 때문에 큰 문제는 아닌 것 같습니다.

테스트에 쓰인 악성코드들은 모두 보안 제품들이 진단하고 있으며, 이미 오래전에 진단되어 해당 벤더들이 악성코드에 대한 세부적이 정보를 이미 파악하고 있는 샘플을 골라 테스트하였다고 합니다.

2. 테스트 참가 제품 리스트

01. avast! Professional Edition 4.8
02. AVG Anti-Virus 8.5
03. AVIRA AntiVir Premium 9
04. BitDefender Antivirus 2010
05. eScan Anti-Virus 10
06. ESET NOD32 Anti-Virus 4.0
07. F-Secure Anti-Virus 2010
08. G DATA AntiVirus 2010
09. Kaspersky Anti-Virus 2010
10. Kingsoft Antivirus 2009
11. McAfee VirusScan Plus 2009
12. Microsoft Live OneCare 2.5
13. Norman Antivirus & Anti-Spyware 7.10
14. Sophos Anti-Virus 7.6
15. Symantec Norton Anti-Virus 2010
16. TrustPort Antivirus 2009

세부 빌드는 약간 차이가 있지만 AVG를 제외한 대부분의 제품들이 최신 버전으로 테스트 되었습니다.

3. 테스트 종합 결과

앞서 언급한 것처럼 해당 악성코드의 치료에 대한 세부 정보는 PDF 링크를 참고 바랍니다.
아래는 악성코드 및 악성코드의 변경 요소 제거/복구에 대한 종합 결과입니다.

에프시큐어 경우 개인적인 체험상 치료 기능이 그리 뛰어난 제품은 아니었는데 버전업이 되고 다중 엔진이 축소되면서 치료 기능도 보강이 된 듯 합니다. Gdata 경우 진단율에 비해 활성화된 악성코드 제거와 변경 요소에 상당히 취약한 모습을 보이고 있습니다.

이전에 바제2에 올린 Anti-malware test Lab의 치료 성능 테스트의 경우도 그렇지만, 결과적으로 악성코드가 활성화되면 모든 보안 제품에서 완벽하게 치료하는 것은 거의 불가능하다는 것을 알 수 있습니다. 악성코드가 활성화되면 보안 제품들 특히, 카스퍼스키나 노턴처럼 자체 보호에 상당한 노력을 기울인 제품들도 자기 보호 기능의 허점이 존재해서 비활성화되는 경우도 비일비재하기 때문에, 사전에 악성코드를 차단할 수 있도록 사용자들의 세심한 관리가 필요하다고 생각합니다.

이상으로 Av-comparatives의 Malware Removal TEST에 대한 소개를 마칩니다.

MRG 악성코드 테스트 #21 : 수동 검사 진단율

물여우 — Sun, 18 Oct 2009 01:08:27 +0900

MRG에서 21번째 보안 제품들의 악성코드 진단율 테스트를 실시하였습니다.

저는 보안 전문가가 아니며 보안에 대하여 전문적이고 기술적인 지식을 지니고,
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.

테스트 출처 : Malware Research Group Project#21 : On Demand Scan test

1. 테스트 참가 제품

아래와 같이 테스트 당시의 최신 버전(비정식 포함)을 테스트에 이용하였습니다. 이전 테스트에 비해 4개의 제품이 늘어나고 한개 제품이 빠져 총 21개의 제품으로 테스트 되었습니다.

개인적으로 MRG 테스트에 관심을 보이는 이유가 테스트에 쓰이는 제품들의 버전이 거의 테스트 당시의 최신 버전을 이용한다는 점입니다. 이번 테스트에서도 정식으로 배포되는 최신 버전들이 사용되었습니다.

1. a-squared Anti-Malware 4.5.0.27
2. avast! 4.8.1356
3. AVG Anti-Virus 9.0.663 Build 1703
4. Avira AntiVir Premium 9.0.0.447
5. BitDefender AntiVirus 13.0.15.297
6. COMODO Internet Security 3.12.111745.560
7. eScan Antivirus 10.0.997.491
8. ESET Nod32 Antivirus 4.0.467
9. F-Secure Antivirus 10.00.246
10. F-Prot Antivirus 6.0.9.3
11. Ikarus Virus Utilities 1.0.97
12. G DATA Antivirus 20.0.1.1
13. Kaspersky Anti-Virus 9.0.0.463
14. McAfee VirusScan Plus 13.11.102
15. Norman Antivirus & Anti-Spyware 7.10.02
16. Norton AntiVirus 17.0.0.136
17. Online Armor++ 3.5.0.50
18. Panda Antivirus 9.00.00
19. Twister Anti-TrojanVirus 7.32
20. Sophos Anti-Virus 7.6.10
21. Spy Emergency 7.0.195.0

2. 테스트에 쓰인 샘플 정보

이번 테스트에 쓰인 악성코드들은 누적 샘플로 약 55만개가 사용되었습니다. 비교적 유포된지 얼마안되는 신규 샘플을 이용하였으면 하지만 그런 샘플을 모으고 정리하는 것이 쉬운 일은 아닌 듯 싶습니다.
이번 테스트에서는 누적 기간에 대한 정보는 없습니다. 소규모 단체에서 자체적으로 50만개의 DB를 모으고 체계화 하고 있다는 것은 대단한 일 같습니다.

1. Trojans/Backdoors- 398.951
2. Windows Viruses- 8.864
3. Worms- 61.928
4. Adware/Spyware- 48.552
5. Rootkits/Exploits- 10.736
6. Other Malware- 25.860

3. 테스트 결과

Program Detection Rate (%)

a-squared 99.8%

Online Armor ++ 99.8%

G Data 99.6%

Avira 99.5%

Ikarus 99.4%

Panda 98.9%

Norton 98.8%

Avast 98.7%*

McAfee 98.7%

BitDefender 98.6%*

eScan 98.6%

F-Secure 98.5%

Nod32 98.3%

Kaspersky 98.2%

Comodo 98.1%

AVG 97.4%

F-Prot 95.7%

Twister 94.6%

Sophos 94.4%

Norman 93.2%

Spy Emergency 66.5%

이번 테스트에서는 맥아피의 아르테미스 기능을 활용하기 위해 특별이 맥아피의 경우 네트워크 연결이 존재하는 상황에서 테스트가 진행되었다고 합니다. 물론 기본 내장된 AV 엔진의 DB는 다른 제품들과 동일한 시점에서 업데이트가 멈춘 상태로 진행되었습니다.

MRG에서 진행하는 테스트에서는 유독 이카루스 엔진의 진단율이 높은 편인데 이번 테스트에서는 이카루스의 엔진을 사용하는 A-squared와 온라인 아머 제품군이 가장 높은 진단율을 보였습니다. 정확하게는 이카루스와 자체엔진의 이중 엔진 구조인 A-squared엔진이 쓰인 제품들인데 어베스트와 비트디펜더 엔진의 이중 구조인 G-DATA보다도 높은 진단율을 보이고 있습니다. 이전 테스트에서 A-squared와 동율을 보인 안티버는 약간 하락하였네요.

역시나 흥미로운 것은 코모도 제품의 진단율입니다. 이번에도 상당히 높은 진단율을 보여주고 있는데 국내에서 유포되는 신규 샘플의 대응이 거의 국내 유저들의 신고를 통해 이루어진다는 점 등 국내에서의 대응 능력 부재로 D+ 기능의 사용이 필요하기 때문에 주변에 추천을 잘 못한다는 점이 아쉽습니다.

맥아피처럼 판다의 경우도 수동 검사시 클라우딩 기능을 사용하는데 이번 테스트에는 판다는 네트워크 연결에 대한 언급이 없습니다. 이전 테스트에서 언급하였기에 이번에는 당연히 그걸 감안했으리라 생각됩니다만 다소 좀 아리송 합니다.

안티 바이러스 제품군들 틈에서 Spy-Emergency 제품은 외로이 고군분투하는 중입니다. 요즘 안티스파이웨어 제품들도 통합형 위주의 시장에서 살아남기 위해 안티바이러스 엔진이나 바이러스, 웜, 트로잔 계열의 DB를 추가하고는 있지만 역시 안티바이러스 제품들에 비해서는 부족한 부분이 많은 것 같습니다.

- 이상입니다.

ZoneAlarm Firewall Pro 2009 무료 라이센스 프로모션

물여우 — Wed, 14 Oct 2009 00:20:05 +0900

존알람에서 자체적으로 활성화한 프로모션이 아직도 열려있나 봅니다. ^^

지금 쯤이면 다 끝났을 줄 알았는데 아직 몇 시간 남았나 봅니다. 원래 오늘 하루 동안 무료로 나눠주는 프로모션인데 생각해보니 국내 시간과는 시차가 좀 있네요 ^^;;

방화벽과 HIPS 성능이 좋은 존알람 방화벽을 사용하시려는 분들은 서둘러서 받으세요~

프로모션 페이지는 여기를 클릭!

가서 다운로드 버튼을 클릭 후 이름과 이메일 주소만 기입하면 됩니다. ^^

그나저나 ESET의 ESS와 EAV의 90일 무료 라이센스 프로모션 정보가 있네요.

https://promo.eset.de/computermagazin/ 이 링크를 가야하는데 독일쪽 IP만 받기 때문에 프록시로 우회할 필요가 있습니다. 왠만한 프록서 우회 사이트들은 막힌 것 같은데 혹시 제대로 프로모션 페이지로 접속할 수 있는 프록시 사이트 또는 서버를 찾으셨다면 ESET을 원하는 다른 분들에게 공유 좀 부탁드립니다. ^^;

Panda Internet Security 2010 리뷰 (4-2) - 방화벽 : 네트워크 모니터, 기타 기능

물여우 — Mon, 12 Oct 2009 23:15:32 +0900

판다 방화벽의 두 번째 포스팅입니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.

▶ Panda Internet Security 2010 리뷰 모음

(1) 개요 및 설치 환경

(2) 메인 화면 및 트레이 UI

(3) 악성코드 진단/치료
- 실시간 시스템 감시 : ① 정식 진단 ② 의심 진단
- 수동 검사

(4) 방화벽(Firewall) : ① 네트워크 규칙 설정

6-4. 네트워크 모니터 - View Network Activity

네트워크 모니터 기능

방화벽의 중요한 기능 중 하나인 네트워크 연결과 송수신되는 패킷량 등을 살펴보는 모니터 기능입니다. 판다는 위의 그림에서처럼 메인 화면에서 바로 네트워크 연결 상태를 확인할 수 있습니다.

네트워크 모니터 세부 화면

비교적 깔끔한 형태의 네트워크 모니터 기능이라 생각합니다. 판다는 네트워크 모니터의 기본창 크기를 사용자가 조절할 수 있습니다. 그래서 내부 정보를 잘림없이 볼 수 있는데, 여기서는 그림 크기를 블로그 글쓰기 크기에 맞추기 위해 기본 창 크기를 사용하였습니다.

판다의 방화벽과 네트워크 모니터 기능은 특정 프로세스의 송수신 연결 및 패킷량 내역과 총 송수신 패킷량 내역 정보를 제공하지 않습니다. 이런 내역 정보는 일반 통합형 제품에서는 거의 제공 안 하는 기능이긴 하지만, 카스퍼스키에서 비교적 자세하게 제공하고 있고 맥아피 등 일부 제품에서도 일부 정보를 제공하고 있어서 개인적으로 다소 아쉽습니다.

6-5. 네트워크 구성 설정 - Network

이 부분은 어떤 식으로 번역을 해야할지 다소 곤혹스러운 부분입니다. 이 기능은 사용자가 사용하는 네트워크의 안전성에 따라 네트워크에 대한 보안성을 설정합니다.

네트워크 설정

환경 설정에 들어가면 아래와 같이 현재 설정된 사용자 네트워크 보안성 정보를 보여줍니다.

사용자 네트워크 정보

현재 제 네트워크 망은 "Trust" 로 구성되어 있음을 확인할 수 있습니다. 세부 설정을 살펴봅니다.

세부 설정

Trusted/Public 등 두개의 항목을 설정하도록 간단하게 구성되어 있습니다.

Trusted 경우는 모든 윈도우의 네트워크 서비스 기능을 사용할 수 있고, Public 설정은 Netbios 서비스 등 일부 기능을 사용할 수 없도록 제한시킵니다. 일반적인 상황에서는 Trusted로 구성해도 별 문제는 없습니다. 개인적으로는 윈도우 시스템을 조금 다룰 줄 안다면 위와 같은 네트워크 보안 설정 기능을 이용해서 관리하기 보다는 불필요하거나 보안상 위험하다 판단되는 서비스를 사용자가 직접 관리하는 것이 더 효율적이라고 생각합니다.

아래는 해당 네트워크의 세부 정보입니다. 공유기를 사용하기에 사설 IP가 쓰이고 있습니다.

세부 정보창

6-6. WI-FI 망 관리

WI-FI를 이용해서 인터넷에 접속하거나 간단한 망을 구성하여 사용하는 사용자들에게 필요한 기능입니다. 자신의 컴퓨터에 WI-FI 망을 통해 접근하는 것을 관리할 수 있습니다.

접속자 설정은 위쪽은 허용, 아래쪽은 차단 설정입니다. 아래는 허용/차단 설정 모습입니다.

위와 같이 3가지 항목으로 외부 사용자 PC의 접속을 관리할 수 있습니다. 반드시 외부 사용자 정보를 기입후 "Resolve name" 버튼을 클릭해서 판다가 해당 사용자의 존재 여부를 파악해야만 허용/차단 설정에 추가할 수 있습니다.

저는 무선 네트워크 기능을 사용하지 않기 때문에 실제로 관리되는 부분을 실제로 살펴본 것은 아닙니다. 안정성에 대한 정보도 얻을 수가 없었습니다. 송수신되는 패킷의 보안이 아닌 단순히 사용자 PC에 접근하는 것을 차단하는 것이니 만큼 성능에 큰 기대를 가질 필요는 없어보입니다.

판다 방화벽의 모든 기능을 살펴보았습니다. 앞서 포스팅의 기능들과 마찬가지로 네트워크 모니터나 다른 기타 기능들도 사용하기 쉽고 설정도 간단합니다.

비스타나 윈7등에 포함된 방화벽은 아웃바운드 연결도 관리가 가능하지만 아무래도 보안 제품에서 제공하는 방화벽의 관리 기능에 비하면 불편한게 사실입니다. 비록 판다 방화벽은 성능이 그리 뛰어난 편도 아니고 세부적인 설정을 제공하는 것도 아니지만, 일반 사용자들에게는 이정도 기능과 관리 항목을 제공하는 정도면 크게 무리없이 사용할 수 있을 것 같습니다.

이상으로 "방화벽 : 네트워크 모니터, 기타 기능" 에 대한 포스팅을 마칩니다.

Norton, McAfee 인터넷 시큐리티 6개월 무료 프로모션

물여우 — Mon, 12 Oct 2009 19:46:10 +0900

Norton, McAfee I*nternet Security 제품군 6개월 무료 사용 프로모션이 열렸습니다.

이벤트 잘 안하기로 유명한 노턴 제품과 시만텍에 이어 세계 매출량 2위인 맥아피의 인터넷 시큐리티 제품 6개월 무료 사용 프로모션 소식입니다. ^^

출처 : 바제2 "뻔디기님" (노턴, 맥아피)

이벤트 잘 안하기로 유명한 노턴과 시만텍에 이어 세계 매출량 2위의 맥아피의 프로모션 소식입니다.

노턴의 프로모션은 여기 링크를 통해 들어가셔서 이메일 주소를 기입 하시고 아래 체크박스를 모두 체크하시면 됩니다. 이후 기입한 메일 계정에 확인 메일이 날라오고 확인 메일의 링크를 클릭하면 라이센스가 두 번째 메일로 전송됩니다.

맥아피의 프로모션은 맥아피 회원 가입을 통해 이루어지는데 여기 링크의 "Try Now" 버튼을 클릭 후 회원 가입 양식에 따라 가입하신 후 다운받아 사용하시면 됩니다.

프로모션에 사용되는 메일이 스팸메일로 대부분 빠지는 경우가 많은데 참고하시기 바랍니다. ^^
세부적인 설명은 위 바제2 링크의 뻔디기님 게시글을 참고바랍니다. 좋은 소식 전해주신 뻔디기님에게 감사의 댓글도~ :)

Panda Internet Security 2010 리뷰 (4-1) - 방화벽 : 네트워크 규칙 설정

물여우 — Sat, 10 Oct 2009 21:05:09 +0900

네트워크 관리 및 방어 기능을 담당하는 판다의 방화벽을 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.

▶ Panda Internet Security 2010 리뷰 모음

(1) 개요 및 설치 환경
(2) 메인 화면 및 트레이 UI
(3) 악성코드 진단/치료
- 실시간 시스템 감시 : ① 정식 진단 ② 의심 진단
- 수동 검사

6. 방화벽 - Firewall

판다의 기본적인 성향처럼 방화벽 기능 또한 UI와 구성 항목은 매우 간결합니다.

방화벽 환경 설정

6-1. 프로그램별 규칙

사용자 편의성을 강조한 제품이니만큼 다른 방화벽과 다르게 사용자 처리 팝업창을 먼저 설명 후 환경 설정을 살펴보도록 하겠습니다.

(1) 사용자 처리 팝업창

기본적으로 네트워크 연결을 시도하는 윈도우 시스템 프로세스들과 일반 프로그램들은 판다의 방화벽에서 관리가 됩니다. 물론, 타사의 방화벽들처럼 기본적으로 윈도우 시스템 프로세스들에 대한 네트워크 연결 설정은 기본적으로 갖추어져 있습니다. 따라서 사용자는 일반 프로그램들만 관리하면 됩니다. 아래에서 다룰 환경 설정에서 사용자가 세부적인 부분을 직접 설정할 수도 있습니다만, 간단한 설정 항목과 사용 방법이 장점인 판다답게 아래와 같이 프로그램이 연결을 시도할 때마다 뜨는 팝업창을 이용해서 간단하게 설정할 수 있습니다.

프로그램 연결 규칙 팝업창

개인적으로는 네트워크 연결을 시도하는 프로세스와 네트워크 연결 정보에 대한 세부적인 정보가 없어 불만이지만 단순한 구성을 가짐으로써 사용자 편의성은 무척 높다고 봅니다.
('사용자 편의성이 좋다' 이말은 판다를 리뷰하면서 정말 많이 하는 군요. ^^;)

개인적으로 문제가 된다고 생각하는 건 자동으로 연결 허용/차단을 설정하는 "Assign permissions automatically" 항목입니다. 제가 테스트해본 봐로는 프로그램의 위험성을 검사하거나 인증서 등의 유무 등을 이용해서 프로그램 연결을 관리하는 것이 아닌 단순히 연결 시도(여기서는 아웃바운드 연결)를 하는 모든 프로그램을 허용하는 것으로 보입니다. 판다의 도움말이나 포럼에서도 별 정보가 없는데, 한번 팝업창에서 설정하면 사용자가 환경 설정에서 자동 처리 항목을 해제할 때까지 지속적으로 자동 처리 설정이 유지가 됩니다. 제가 실험할 때 사용한 네트워크 연결을 시도하는 악성코드들도 허용을 하는 것등 사용자가 아무 생각없이 사용할 경우 다소 위험할 수 있습니다.

판다 방화벽 특성상 네트워크 연결 규칙의 세부적인 관리는 못하지만 아웃포스트의 자동 학습 모드처럼 단순히 네트워크 연결을 시도할 때 사용자의 처리없이 자동으로 설정 항목을 구성해주는 것이 아닌가 합니다. 따라서 해당 기능을 사용하는 사용자분들은 반드시 사용 후 환경 설정에서 해당 기능을 비활성화하는 것을 권장합니다.

아래는 이미 규칙이 형성된 프로세스가 버전업이나 기타 다른 이유로 변경되었을 경우 사용자에게 알려주고 연결 허용 여부를 물어보는 팝업창입니다.

변경 프로세스 연결 규칙 팝업창

프로그램별 규칙 항목과는 상관없지만 간혹가다 아래와 같은 팝업창을 볼 수 있습니다.

이 경우 다른 보안 제품에 포함된 네트워크 침입탐지 기능과 유사한 기능으로 탐지/차단된 것이라 보시면 됩니다. 방화벽과 연결되어 활성화되며 환경 설정에서 따로 설정은 불가능합니다.

(2) 프로그램 규칙 환경 설정

프로그램별 규칙 환경 설정창

기본적으로 인/아웃바운드 방향과 연결 허용/차단 여부만 설정하는 매우 간단한 구조입니다. 실제로 대부분의 프로그램이나 일반 사용자들을 고려하면 이 정도 수준의 항목 구성이면 충분합니다.

물론, 판다에서도 세부적인 설정을 원하는 사용자를 위해 아래와 같이 세부 규칙 설정을 할 수 있도록 항목을 구성하였습니다. "Custom permission" 버튼을 클릭합니다.

프로그램 규칙 세부 설정창

위와 같이 세부적인 규칙을 설정할 수 있으며, 규칙간 우선 권한이 존재하기 때문에 세부적인 관리가 가능합니다. 세부 규칙 설정창을 살펴보겠습니다. "Setting"이나 "Add"버튼을 이용합니다.

세부 규칙 설정

기본적으로 써드파티 프로그램을 기준으로 구성된 규칙이라 단순합니다. 네트워크 보안 강도 규칙 설정은 나중에 다룰 네트워크 구분에 따른 보안성 규칙 설정에 따라 연결 여부를 판단하는 것을 의미합니다. 즉, 선택한 네트워크 항목이 현재 판다에서 연결을 허용한 네트워크일 경우에만 연결이 허용됩니다.

프로토콜 설정은 TCP/UDP에 대한 설정만 존재하며 포트는 원격지 포트를 의미합니다. IP 설정 부분을 잘모르겠는데 범위(Range) 설정은 '1.1.1.1-2.2.2.2' 처럼 하시면 됩니다.

세부 규칙을 구성할 수는 있지만, 역시 전문적인 개인 방화벽에 비하면 다소 빈약해보이긴 합니다.

6-2. 윈도우 서비스 항목 설정

윈도우 서비스 관리

OS를 최적화 하는 경우 원격이나 기타 불필요한 윈도우의 서비스 항목들을 비활성을 할 때가 많은데 보안 제품의 방화벽들은 원격이나 공유 설정 등 위험성을 내포한 서비스 항목에 대한 관리 기능이 기본적으로 구성되어 있습니다. 판다도 마찬가지여서 위 설정은 네트워크 구분에 따라 윈도우의 기본 서비스 항목들의 사용 여부를 설정합니다.

6-3. 기본 네트워크 규칙 설정

일반 규칙 설정

프로그램별 규칙보다 먼저 적용되는 네트워크 연결 기본 규칙 설정입니다.

위 그림을 살펴보시면 블리자드 게임들이 주로 사용하는 6112 포트에 대한 규칙이 추가되어 있는데, 앞서 설명한 네트워크 침임 탐지 기능에 의해 간혹 워3나 스타크래프트의 네트워크 연결이 끊어질 때가 있습니다. 부정확한 syn나 ack 신호를 탐지해서 차단한 경우인데, 이유는 모르겠지만 해당 공격 신호를 탐지했다면서 팝업창이 뜸과 동시에 배틀넷에서 튕기게 됩니다. 물론 지인들끼리 모여서 하는거라 모두 정품사용자에 따로 핵 등을 사용하지 않고 저만 튕기는 것만 봐서는 판다의 문제로 보입니다. 서버 문제나 ISP 문제로도 생각이 안되는 건 판다의 방화벽을 해제한 상태에서는 한번도 그런 경우가 없기 때문입니다.

여하튼 혹시나 해서 해당 포트에 대한 연결을 무조건적으로 허용했지만, 이 규칙보다 상위에서 작동하는 네트워크 침입 탐지 기능에는 적용이 안되기 때문에 별 소용은 없었습니다. ^^;

일반 규칙의 세부 설정 창은 아래와 같습니다.

프로그램별 규칙의 세부 규칙과 유사하기 때문에 따로 설명을 하지는 않겠습니다. 방화벽의 일반 규칙을 설정하기 때문에 프로토콜도 TCP/UDP/IP/ICMP 등 4가지로 구성되고 로컬 포트와 리모트 포트를 설정할 수 있습니다. 특이하게도 IP가 아닌 맥어드레스를 통한 규칙 설정도 가능합니다.

방화벽에도 사용자 편의성이 좋은 판다의 특징이 잘 들어나있는 것 같습니다. 세부적인 부분에 대해서는 불만이 많지만 통합형 제품인 것을 감안해보면 비교적 쓸만하게 구성되었다 평가합니다.

물론, HIPS 등을 필요로 하는 Matousec 테스트 결과는 참혹합니다만 이는 대부분의 통합형 제품에 적용되는 것이라 생각합니다.

다음 포스팅에서는 네트워크 모니터 기능과 방화벽의 나머지 기능 등을 살펴보도록 하겠습니다.

이상으로 "방화벽 : 네트워크 연결 규칙" 에 대한 포스팅을 마칩니다.

그래픽 카드 사망 ㅠ-ㅠ

물여우 — Thu, 08 Oct 2009 23:03:54 +0900

오늘 컴퓨터를 부팅하니 부팅은 잘 되는데 모니터 화면이 안들어오더군요. 선이 빠진 건 아닌가 했는데 결론은 그래픽 카드가 날라간 것을 확인하였습니다.

지포스 8600GT는 그리 좋은 놈은 아니었지만 제가 사용하기에는 충분한 성능을 갖고 있었는데 갑자기 사망하니 가슴이 아프네요;; 당분간 내장 그래픽으로 견뎌야겠습니다. ㅠ-ㅠ

지포스 9000 대라도 얼른 하나 사야겠는데, 저사양의 쓸만한 그래픽 카드 좀 추천해 주세요~ ^^;;

IOLO Anti-virus 1년 무료 라이센스 프로모션

물여우 — Thu, 08 Oct 2009 00:26:53 +0900

이전에 소개한 IOLO 제품의 하위 제품군인 안티 바이러스 제품에 대한 1년 무료 라이센스 프로모션이 열렸습니다. ^^

▶ 출처 : avinashtech

F-port에 대한 향수가 있거나 통합형 제품이 아닌 안티바이러스 기능만 깔끔하게 사용하고 싶은 분들은 한번 써보시는 것도 좋을 듯 합니다. 이번에 IOLO 정보를 살펴보니 매 시간당 업데이트를 한다는 소식도 있더군요.

1. 먼저 여기를 클릭해서 프로모션 페이지로 이동합니다.
단, 이때 웹마의 광고 필터링 같은 문맥 필터링을 이용해서 광고 차단 중이시라면 잠시 끄고 접속하시
기 바랍니다. 프로모션에 접속하는 버튼이 안보이는 경우가 있더군요.

2. 이후 나오는 쇼핑 카트 페이지의 가격이 0달러인 것을 확인하고 클릭합니다.

3. 이메일 주소는 라이센스가 날라오기 때문에 정확하게 적어주세요.

4. 한 번도 클릭을 반복하면 됩니다.

5. 완료!

이메일이 두 통이 날라올 터인데 첫 번째 메일에 라이센스가 포함되어 있습니다. 두 번째 메일은 광고 메일인데 무시하셔도 됩니다. :)

혹시 이벤트 페이지에서 무료 프로모션 페이지로 접속이 안되는 경우 파폭이나 오페라 같은 다른 웹브라우저를 사용해서 들어가보시기 바랍니다. 쿠키로 인해 리다이렉션이 안되는 경우가 있는 것 같습니다.

- 이상입니다.

바이러스 블러틴 10월 테스트 결과 (VB100 , RAP) - Windows Server 2008

물여우 — Tue, 06 Oct 2009 23:16:47 +0900

10월달 윈도 비스타 SP2 환경에서 시행된 Virus Bulletin의 WildList 샘플 측정 검사를
통한 VB-100 Pass 결과와 RAP 테스트 결과를 공유합니다.

저는 보안 전문가가 아니며 해당 테스트에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다

▶ 관련글

- 8월 테스트 결과 (VB100 , RAP) - Windows Vista SP2 Business Edition
- 6월 테스트 결과 (VB100 , RAP) - Windows 2003 Server x64
- 4월 테스트 결과 (VB100 , RAP) - Winodws XP SP3

윈도우즈 서버 2008 환경에서 실시된 이번 VB 테스트에서는 총 26개 제품이 참가하였습니다.
서버 제품군이라 그런지 참가 제품 수가 약간 적습니다.

VB100과 RAP 테스트에 대한 정보는 위 링크의 4월 테스트 결과를 참고바랍니다.

1. VB100 인증

이번 테스트에서는 15개의 제품이 통과하고 11개의 제품이 탈락하였습니다. 아래는 이번 테스트의 결과입니다.

10월 VB100 결과

일단 안티버와 소포스도 탈락이 눈에 띄고 아쉽게도 국내 보안 제품인 V3의 탈락도 보입니다. 바제2에 올라온 정보로는 샘플 수는 많지만 다형성 형태를 가진 바이럿 종류 하나를 놓쳤다고 합니다. 그러나 결과적으로는 탈락.

재밌는 점은 이번 테스트에 Ikarus 제품이 테스트되었다는 점입니다. 이전에 리뷰한 A-squared 제품에도 쓰이는 엔진이고, 여러 소규모 테스트에서는 상당한 진단율을 보이는 제품인데 놀랍게도 무려 3759개의 와일드 리스트 샘플과 4개의 오진을 보여 두 번째로 나쁜 결과를 보여주었습니다.

테스트 샘플의 문제겠지만 괴짜'같은 성능을 보이는 제품이라고 생각합니다. 다른 테스트에 비해 좀 더 객관적이고 공신력있는 테스트의 최신 결과가 상당히 엉망이라 다소 실망입니다.

2. RAP Test 결과

이전 RAP 테스트부터 유료 구독자에 한해서만 세부 정보를 보여줍니다. ㅜ-ㅜ
무료 구독자에게는 아래와 같이 4월부터 10월까지의 종합 결과 수치만을 보여줍니다.

단일 엔진 제품중에서는 역시 안티버가 뛰어난 사전 진단율 및 진단 추가율을 갖고 있음을 보여주고 있습니다.

최근에 정식으로 무료 제품을 선보인 MSE의 엔진엔 ONECARE 제품도 상당한 사전 진단율을 보여주고 있는데 진단율만 놓고 보면 무료 제품으로서 상당히 매력적이지 않나 생각합니다. 각종 보안 업체의 무료 제품과 경쟁하면서 얼마나 개인 사용자의 시장 점유율을 가져갈지 궁금해집니다.

- 이상입니다.

Panda Internet Security 2010 리뷰 (3-3) - 악성코드 진단 : 수동 검사

물여우 — Mon, 05 Oct 2009 22:38:32 +0900

판다의 악성코드 진단 기능과 관련도니 마지막 포스팅으로 수동 검사 기능에 대해서 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.

▶ Panda Internet Security 2010 리뷰 모음

(1) 개요 및 설치 환경
(2) 메인 화면 및 트레이 UI
(3) 악성코드 진단/치료
- 실시간 시스템 감시 : ① 정식 진단 ② 의심 진단

5. 수동 검사 - Scan

판다의 수동 검사는 클라우딩 기술이 포함된 의심진단 기능이 존재하는데, 이 기능으로 인해서 반드시 네트워크 연결을 필요로 합니다. 물론 네트워크가 연결안된 상태에서도 검사가 가능하나 네트워크가 연결되지 못한다는 것을 판다가 파악하고 일반 AV엔진으로만 검사하는 것으로 검사 설정이 변경되는 과정이 다소 오래 걸리는 단점이 있습니다.

아래와 같이 판다의 수동 검사는 판다 메인 화면의 두 번째 탭인 Scan 항목입니다.

스캔 메인 화면 모습

위 그림과 같이 판다에서 제공하는 여러 검사 경로 중 하나를 선택하여 검사를 진행할 수 있도록 구성되어 있습니다. 취약점 검사는 나중에 살펴볼 취약점 실시간 감시 기능과도 연관성이 있는데 윈도우 업데이트 등이 안된 경우 등 시스템 내에 존재하는 취약점을 찾아 사용자에게 알려줍니다.

사용자 지정 경로 검사는 아래와 같이 구성됩니다.

사용자가 직접 검사 경로를 설정하는 경우

특정 파일 및 특정 폴더 검사는 위와 같이 메인 화면창에서도 가능하지만 아래와 같이 마우스 우클릭 쉘 메뉴를 통해서도 가능합니다.

5-1. 환경 설정

수동 검사의 환경 설정은 이전에 살펴본 실시간 감시 항목과 거의 동일합니다. 실시간 감시 항목의 정식 진단(Known Threat)와 의심 진단(Unknown Threat) 설정 중에서 시그니처 진단과 관계된 항목들이 함께 존재한다고 보시면 됩니다.

(1) Scan 탭 - 검사 환경 및 강도 설정

수동 검사 환경 설정창

이 부분은 실시간 감시 항목에서 모두 살펴본 내용이니 포스팅 맨 위 링크를 참고 바랍니다.

앞서 언급한 것처럼 판다의 수동 검사에는 클라우딩 의심 진단 기능이 포함되어 있는데 위 그림의 의심 진단 항목과 함께 묶여 구성되어 있습니다.

판다의 클라우딩 기술은 맥아피나 안랩의 그것과 달리 실시간 감시에서는 동작하지 않고 오로지 수동 검사 항목에서만 동작합니다. 제가 보유하거나 얻는 샘플들의 수가 적어서 별 의미가 없는 이야기지만 기본적인 시그니처 휴리스틱 항목을 보완하는 역활로서는 좋은 것 같습니다.

기본적으로 다른 제품들처럼 시스템에 내장된 av엔진으로 검사 후 미진단되는 항목에 대해서만 서버에 보내 확인을 하는 것으로 보입니다. 역시 모든 파일을 보내는 것이 아닌 특정 키값만을 보내며, 모든 파일을 다 검사하는 것은 아니라고 합니다만 자세한 정보는 없습니다.

시그니처 휴리스틱 부분은 설정은 단순히 활성화/비활성화 항목 하나만 존재하지만 실시간 감시의 실시간 감시 항목과는 다르게 클라우딩 기능의 활성화/비활성화 항목도 포함되어 있습니다. 이것은 개인적으로 좋은 구성은 아니고 판다의 단순함에서 비롯된 단점 중 하나라고 봅니다. 앞서 언급한 것처럼 네트워크 연결이 없을 경우의 딜레이 현상이 존재하고 일반 AV엔진에 포함된 시그니처 휴리스틱에 비해 다소 민감한 클라우딩 진단 설정만 비활성화하고 싶은 경우 환경 설정 내에서는 조정이 불가능하기 때문입니다.

참고로 클라우딩 기술을 이용하여 진단된 의심 파일도 진단명은 일반 시그니처 의심진단과 동일한 Suspicious files 입니다.

(2) Actions- 진단된 파일 처리, Warnig - 진단 알람 설정

악성코드 처리 설정창

두 번째 Action 탭에서는 진단된 악성코드 처리 방법을 설정합니다.

판다의 악성코드 진단 항목 중에서 유일하게 사용자 처리 항목이 존재합니다. 그러나 의심 진단의 경우 사용자가 처리할 수 없고 자동으로 검역소로 이동하게 됩니다.

정식 진단과 의심 진단의 처리 방법 차이

설정이 단순하고 자동 처리 방식이 주요 정책이다보니 이런 문제가 발생하는 것 같습니다.
의심진단된 객체의 위험성은 사용자가 판단할 사항이 아니다?

세 번째 탭은 악성코드가 진단 사실에 대한 알람창에 대한 설정입니다. 이 부분은 실시간 감시 항목과 동일하기에 실시간 감시 : 정식 진단 포스팅을 참고 바랍니다.

5-2. 수동 검사 화면

아래 그림은 판다의 실제 수동 검사 화면입니다.

수동 검사 모습

검사 시간 경과 및 예상 완료 시간 등의 정보는 없지만 압축 파일이나 특정 파일 분석에 따라 시간 정보가 정확한 것은 아니어서 상관없을 듯 합니다.

앞서 설명한 것 중 Ask Which action to take 로 처리 방법을 설정하면 수동 검사 중 악성코드가 진단되면 아래와 같은 처리창이 활성화됩니다.

사용자 처리 창

간단하게 구성된 처리창이지만 실시간 감시에서도 이런 항목이 존재하였으면 하는데 개인적으로 참 아쉽습니다.

아래 그림은 검사가 완료된 상태의 모습입니다.

검사 완료/ 결과 정보 창

Report 버튼을 클릭하면 리포트 항목이 활성화되는데 이 부분은 리포트와 검역소를 다룰 때 설명하도록 하겠습니다.

이번에는 앞서 언급한 판다의 클라우딩 기능에 대해서 조금 더 살펴보도록 하겠습니다.

수동 검사를 시작하여 수동 검사창이 활성화되면 아래와 같이 가장 먼저 판다의 클라우딩 서버에 연결을 시도합니다.

판다 서버와의 연결

외부 네트워크에 연결이 된 상태라면 문제없이 진행이 되지만 네트워크가 연결 안된 경우 Connecting 과정에서 지속적으로 멈추어져 있습니다. 제 시스템에서는 1-2분 정도, 간혹 더 오랫동안 서버에 연결 신호를 계속 보내며 검사가 정체됩니다. 결국 판다 서버에서 연결 신호에 응답이 없을 경우 아래와 같이 사용자에게 네트워크 미연결 상태라는 것을 알려줍니다.

연결 실패 정보

이후 av 엔진으로만 검사가 진행됩니다. 따라서 정식 DB 진단 및 시그니처 의심 진단은 정상적으로 진행됩니다.

판다에서 제공하는 무료 제품 중 하나인 클라우딩 백신은 실시간 감시/수동 검사 모두 클라우딩 방식으로 동작합니다. 정작 유료 제품에서는 실시간 감시 항목에서 클라우딩 기능을 사용할 수 없는 이유는 아마 사용자 시스템의 퍼포먼스 문제와 서버의 대역폭 확보, 그리고 오진 위험성 때문이 아닐까 합니다.

판다의 수동 검사는 PE 등에서 보이느 리소스 점유는 적지만 상당히 시스템 퍼모먼스를 떨어트리며 속도도 2009에 빨라졌다고는 하지만 여전히 느린 편입니다. 여기에는 클라우딩 기능도 한 몫한다고 생각합니다.

판다의 수동 검사 메인 화면을 보면 취약점 검사 항목이 있습니다. 해당 항목은 아래와 같은 검사창을 활성화 시킵니다.

취약점 검사

5-3. 예약 검사 - Schedeul scan execution

판다의 예약 작업은 수동 검사 항목에서 같이 설정합니다.

예약 작업 환경 설정

기본적으로 존재하는 윈도우 부팅 시 검사 기능은 사용자가 삭제할 수 없습니다.

예약 작업 항목의 설정을 변경할 때에는 "Scan Settings"를 클릭합니다.

환경 설정 변경

검사할 경로 설정은 아래와 같이 설정합니다.

경로 설정

두 번째 검사 설정 항목은 앞서 다룬 수동 검사 항목과 동일함으로 넘어갑니다.

예약 작업 검사는 맨 아래 버튼입니다.

예약 작업 일시 설정

기본 작업으로 구성된 윈도우 부팅시 검사 기능은 위와 같이 비활성화된 상태입니다.

판다 자체가 그리 가벼운 제품이 아니기 때문에 이런 예약 작업까지 활성화시켜두면 부팅시 딜레이가 상당합니다.

예약 신규로 생성할 때에는 아래의 과정을 거칩니다.

예약 작업 생성 시작

예약 작업 검사 경로 설정

예약 작업 세부 설정

위 항목에서 Schedul 항목의 설정은 아래와 같습니다.

예약 작업 시작 설정

예약 작업 이름 설정

예약 작업 생성 종료

판다의 수동 검사 항목시 시스템 퍼포먼스 하락도 상당합니다. 그러나 전체적으로 무거운 판다 제품 치고는 수동 검사시의 리소스 사용은 비교적 적은 것 같습니다. (나중에 살펴보겠습니다만 PE 등에서 보이는 리소스 사용은 상당히 작습니다.)

판다의 클라우딩 기능이 수동 검사에만 존재하는 점과 의심 진단의 경우 자동 처리된다는 점 등이 개인적으로는 불만이지만 간단한 설정과 간편하고 직관적인 UI는 역시 장점으로 보입니다.

이상으로 판다의 수동 검사 항목에 대한 포스팅을 마칩니다.

인순이 - 아버지

물여우 — Fri, 02 Oct 2009 20:38:43 +0900

아버지-인순이

한걸음도 다가설 수 없었던
내마음을 알아주기를
얼마나 바라고 바래왔는지
눈물이 말해준다

점점 멀어져 가버린 쓸쓸했던 뒷모습에
내 가슴이 다시 아파온다

서로 사랑을 하고 서로 미워도 하고
누구보다 아껴주던 그대가 보고싶다

가까이에 있어도 다가서지 못했던
그래, 내가 미워했었다.

점점 멀어져 가버린 쓸쓸했던 뒷모습에
내 가슴이 다시 아파온다

서로 사랑을 하고 서로 미워도 하고
누구보다 아껴주던 그대가 보고싶다

가까이에 있어도 다가서지 못했던
그래, 내가 미워했었다.

제발 내 얘길 들어주세요
시간이 필요해요

워~
서로사랑을 하고 서로 미워도 하고
누구보다 아껴주던 그대가 보고싶다

가슴속 깊은 곳에 담아두기만 했던
그래, 내가 사랑했었다

긴 시간이 지나도 말하지 못했었던
그래, 내가 사랑했었다

사용자 시스템의 취약점을 찾는 F-Secure의 Health Check

물여우 — Mon, 28 Sep 2009 23:06:32 +0900

시스템의 취약한 부분을 찾아 사용자에게 알려주는 Health Check 프로그램을 소개합니다.

저는 보안 전문가가 아니며 해당 테스트에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.

컴퓨터를 사용하다보면 윈도우나 일부 중요한 프로그램들의 보안 업데이트등을 놓치거나 윈도우의 주요 설정들이 위험한 상태로 조정된 경우를 방치하게 됩니다. 특히, 최적화를 이유로 왠만한 프로그램들은 시작시 자동으로 구동되는 업데이터 항목이 종료된 경우가 많은 일반 프로그램(Adove flash player, Acrobat PDF reader, Realtime player, JAVA)이 문제입니다.

에프시큐어의 Health Check는 이러한 시스템 내의 취약한 부분을 찾아 사용자에게 고지하고 에프시큐어랩에서 권장하는 수정 방법을 제시하는 서비스입니다. 베타 버전으로 서비스되고 있는데 찾은 취약점에 대한 수정 권고 사항이 겨우 에프시큐어 최신 버전의 설치라는 것이 상당히 재밌습니다. 베타 버전이기게 광고를 하는 것인지 원래부터 그런 목적으로 제작된 것인지는 모르겠습니다만 시스템에 이런 문제가 있구나 하는 것을 알아보는 용도로는 사용할 수 있을 듯 합니다.

현재 베타서비스로 제공되고 있으며 자바를 이용해서 웹브라우저를 통해 구동됩니다. 지원되는 웹브라우저는 IE와 파이어폭스 두개입니다.

1. Health Check 설치

Health Check 링크는 여기를 클릭하여 주시기 바랍니다.

위 링크의 하단부를 보면 Health check 라이센스 동의 체크 항목과 실행 버튼이 보입니다. 체크 후에 실행 버튼을 클릭합니다.

혹시 아래와 같이 자바의 실행 디지털 서명 팝업이 뜬다면 가뿐히 실행 버튼을 눌러줍니다.

아래 그림은 Health Check 로딩 장면입니다.

2. Health Check 사용법

자 이제 본격적으로 Health check 사용법을 알아봅니다.

먼저 위 그림의 로딩이 끝나면 아래와 같이 Healt Check가 구동됩니다.

Health Check는 기본적으로 네트워크에 연결되어야 제대로 구동됩니다. 따라서 방화벽 등에서 해당 프로세스(osf_download.exe)의 네트워크 연결을 허용해주셔야 합니다. 호스트 PC에서는 그렇지 않았는데 가상 컴에서는 로딩 시간이 상당히 길었습니다.

검사 단계는 Security/Backup/Software/solution 등 모두 4단계가 있습니다.

(1) Security : 보안 제품 설치 및 활성화 여부를 검사합니다.

보안 제품 설치/활성화 여부 확인

위의 그림과 같이 Anti-Virus/Anti-Spyware/Firewall 항목들의 설치/활성화 여부를 보여줍니다.

그런데 위와 같이 현재 활성화된 상태의 안티버 제품이 비활성화되었다고 나옵니다. 스샷은 없지만 호스트 PC의 판다의 경우는 안티 스파이웨어 부분이 설치되지 않았다고 나옵니다. 베타 버전이기에 오류라 생각되는데 다시 Health check를 실행해서 살펴보면 제대로 동작한다고 나옵니다. 방화벽의 Softwin 항목은 삭제시 남은 찌꺼기 레지스트리를 검색한 것으로 보입니다. ㅠ-ㅠ

활성화된 안티버

(2) Backup : 윈도우의 자체 백업 기능의 사용 여부를 확인합니다.

실시간 백업 기능을 가진 고스트나 트루이미지 같은 프로그램도 인식한다고는 하는데 직접 확인은 못하였습니다.

(3) Software : 윈도우 및 여러 프로그램들의 최신 버전 및 보안 업데이트 패치여부를 확인합니다.

프로그램 취약점 검사

이 항목이 가장 중요한 부분이며 제가 다른 분들에게 광고 성향을 가진 이 서비스를 소개하는 유일한 이유가 되는 부분입니다.

사용자들이 종종 악성코드 진단으로 오해하는 카스퍼스키의 취약점 분석 기능과도 유사한데 악성코드 유포에 주로 사용되는 프로그램들의 업데이트 상황을 체크합니다. 최신 버전인지 아닌지를 보는 것이 아니라, 현재까지 알려진 취약점 패치를 했는지 안했는지를 검사하는 것으로 보입니다.

검사가 가능한 제품은 악성코드가 주로 사용하는 제품들로 한정되어 수가 그리 많지는 않지만 여기에서 검사되는 프로그램들만 잘 관리해도 웹에서 취약점을 이용해 유포되는 악성코드의 다운로드는 거의 차단된다 보시면 됩니다.

악성코드 시험용 가상컴인지라 윈도우 보안 업데이트가 안되어 있습니다. 해당 항목을 잘 지적하고 있습니다.

4) Solution : 발견된 취약점 해결에 대한 권고 사항을 보여줍니다.

앞서 언급한 것처럼 해결책은 에프시큐어 설치입니다. @.@

보안 제품/백업 관한 해결책

윈도우나 소프트웨어의 업데이트가 미 적용된 경우는 아래와 같이 업데이트를 할 수 있는 페이지 링크를 보여줍니다. 윈도우의 경우 MS의 업데이트 페이지로 이동하게 됩니다.

처음 생각했던 것과 달리 해결책의 대부분이 에프시큐어 제품의 설치 권고였던지라 다소 실망하기도 했습니다. 개인적으로 생각했던 것은 문제가 된 부분을 사용자가 수정할 수 있도록 자세한 설명을 해주거나 자동으로 수정되는 것이었는데, 프로그램 업데이트나 패치 경우를 제외하고는 의미가 없는 광고를 해결책이라고 보여주는 것이 상당히 안타깝습니다.

카스퍼스키의 취약점 분석의 경우 OS와 써드 파티 프로그램의 버전 확인 뿐만 아니라 자동 실행 기능같은 위험 설정의 활성화여부도 판별하고 수정을 직접할 수 있는 것에 비해 시스템 취약점을 분석하는 항목과 실제 수정 기능이 거의 없다는 것도 문제입니다. 베타 버전이기에 아직 좀 불안정하다는 것도 또 하나의 단점이 되겠네요.

그러나 앞서 언급한 것처럼 보안과 관련된 주요 프로그램들의 버전 확인 등을 간단히 하기에는 상당히 유용하지 않을까 합니다.

이번 리뷰를 작성하면서 이런 기능을 가진 프로그램이 국내에서 제작되어 배포되었으면 하는 바램이 생겼습니다. 일반 사용자들에게 가장 중요한 한글 지원이라는게 첫 번째 이유가 되겠습니다. 외국에서 서비스되는 OS나 여러 일반 프로그램들은 영문판이나 기타 다른 언어판에 비해 한글판이 다소 늦게 나오고, 파일 자체도 언어권마다 다른 경우가 있어 외국에서 서비스되는 제품보다 더 정확한 분석이 가능하지 않을까 생각됩니다.

찾아보면 윈도우 보안 패치 여부만을 진단해주는 Health Check와 일부 유사한 기능이 있긴 합니다만, 좀 더 다양한 취약점 분석을 할 수 있도록 개선된 프로그램을 기대해봅니다.

특히, 자사 제품을 설치하라는 광고가 없는 서비스가 나왔으면 합니다. ㅎㅎ

이상으로 에프시큐어의 Health check의 소개를 마칩니다.

Panda Internet Security 2010 리뷰 (3-2) - 악성코드 진단 : 실시간 감시 [의심 진단]

물여우 — Sun, 27 Sep 2009 21:29:39 +0900

지난 시간에 이어 판다의 실시간 감시 기능을 살펴봅니다. 이번 포스팅에서는 의심 진단과 관련된 기능에 대해서 알아보도록 하겠습니다.

▶ Panda Internet Security 2010 리뷰 모음

(1) 개요 및 설치 환경
(2) 메인 화면 및 트레이 UI
(3) 악성코드 진단/치료
- 실시간 시스템 감시 : ① 정식 진단

4-2. Unknown Threat - 의심 진단 설정

판다의 의심진단 기능은 진단 방식에 따라 시그니처 진단과 행동 기반 진단으로 나뉩니다. 시그니처는 전통적인 의심진단 기법으로 타사의 휴리스틱 진단과 유사한 진단 기능이며, 행동 기반 진단은 실행되는 프로세스의 행동을 체크하여 악성코드의 행동과 유사한 행동을 하는 경우 차단합니다.

앞서 리뷰한 정식 진단의 실시간 감시처럼 의심 진단 항목도 자동 처리가 기본입니다. 다만 시그니처 의심 진단의 경우 검역소에 저장이되며 행동 기반 의심 진단의 경우 문제가 된 행동을 차단만 하고 해당 프로세스를 따로 처리하지는 않습니다.

의심 진단 기능 환경 설정창

(1) TruPrevent - 행동 기반 탐지 기능 (HIPS)

판다의 "TruPrevent Technology"는 행동 기반 탐지 기술로 판다에서 자체 개발하였다고 합니다. 넓게 보아 HIPS에 속하는 기능으로 비트디펜더의 Behavioral Scanner( 행동기반 기능)^[각주:1]과 유사합니다. 보통 Hips 기능을 언급하면 코모도나 아웃포스트의 그것처럼 프로그램의 행동을 사용자가 직접 관리할 수 있는 기능을 떠올립니다만, 탐지 항목들이 사용자에게 숨겨진 Truprevent 같은 기능들도 사용자의 시스템 내부 침투하려는 악성코드를 실행시에 차단한다는 점에서 HIPS 기능이라고 봐야합니다. 사실 노턴의 SONAR 기능도 유사하지만 진단하는 항목들을 살펴 보면 내부 진단 항목이 다소 다르다고 생각합니다. Trojan이나 웜등에 특화되었다는 느낌이 강하게 드는 노턴의 SONAR 기술에 비하여 진단하는 항목의 범위가 다소 넓다고 생각됩니다.

사설이 조금 길었는데 환경 설정은 너무도 간단합니다. 위 그림의 Unknown Threats 환경 설정의 TruPrevent 기능에 대한 활성화/비활성화하는 조정과 아래와 같은 경고창에 대한 설정이 다입니다.

TruPrevent에서 진단시 진단 알림창 활성화 설정

TruPrevent에서 프로세스의 특정 행동을 차단했을 때에는 아래와 같은 팝업창이 활성화됩니다. 일반적인 실시간 감시 알람창과 비슷한 형태임을 알 수 있습니다.

위 그림은 정식 DB와 시그니처 휴리스틱에서 진단이 되지 않는 악성코드를 실행시켰을 때 나타난 알람창입니다. 아래 그림은 TruPrevent가 오진한 경우인데 위와 달리 악성코드의 행동에만 포커스를 맞춘 것이 아니라 기본적인 써드 파티 어플리케이션들 즉, 일반 프로그램의 행동 위험성도 판단하고 있다는 것을 알 수 있습니다. 이러한 부분이 노턴의 SONAR와는 다르고 비트디펜더의 Behaval Scanner와 유사하다는 것을 보여줍니다.

참고로 위 진단은 샌드박스IE에서 특정 프로그램을 실행시킨 후 샌드박스에 저장된 데이타를 삭제할 때 간혹 일어납니다. 개인적으로는 일단 오진이라고 판단 합니다만 메모리에 상주된 프로세스의 실제 파일을 삭제 하려는 시도를 진단하는 것으로 보이기에 보기에 따라서는 오진이다 잘라 말하기는 어려울 듯 합니다.

TrePrevent는 위와 같이 단순히 활성화만 시켜두면 자동으로 시스템을 감시하고 위험 행위를 차단하게되는 등 사용법이 매우 쉽다는 것이 장점입니다. 사용 편의성이 좋다는 것은 판다의 전체적인 특징으로 보입니다.

그러나 아래와 같은 단점들도 존재합니다.

① 진단되어 차단된 행위에 대한 세부 정보를 파악할 수 없다.
    - 위 진단창에서는 진단된 프로세스의 경로와 진단된 행위에 대한 간단한 정보만 제공합니다. 기본적
      으로 리포트 기능에서는 단순히 진단된 내역만을 제공하기 때문에 위 팝업창이 꺼지면 더 이상 진
      단된 내역에 대한 간단한 정보 조차도 확인할 수 없습니다.

② 오진이 발생했을 경우 해당 진단 및 차단 조치를 멈추거나 진단에서 제외할 수 없다.
   - 이는 상당히 치명적인 단점인데 첫 번째 단점과 마찬가지로 진단된 프로세스와 행위에 대해 관리하
     는 항목이 존재하지 않습니다. 기본적으로 한번 행위를 차단하게되면 재부팅할 때까지 지속적으로
     행위가 차단됩니다. 이는 진단 후에 TruPrevent 항목을 비활성해도 마찬가지입니다. 따라서 오진이
     발생한 경우 TruPrevent를 비활성화하고 재부팅을 해야만 합니다.

     관리할 항목이 없다는 것은 분명히 간편함을 주지만 위와 같이 사용자가 처리해야만 하는 경우에
     는 매우 불편한 상황이 연출될 수 있다는 것을 알 수 있습니다.

오진 문제에 대해서 언급을 해서 오진이 많다 생각될 수도 있지만 최소한 국내 금융권의 각종 액티브x들과 온라인 게임 런쳐와 게임가드 같은 게임 보호용 보안 제품들을 진단하지는 않았습니다. 이 부분에 대한 오진만 없어도 국내에 진출하지 않은 외국 제품으로서는 사용에 별 문제가 없다고 볼 수 있습니다.

(2) Heuristic Scan - 시그니처 의심진단

판다의 시그니처 휴리스틱 설정도 TruPrevent 설정과 같이 매우 간단합니다. 활성화/비활성화 여부만 설정하면 됩니다.

앞서 언급한 것처럼 시그니처 휴리스틱에 의하여 진단된 파일은 자동으로 판다가 처리하는데 다행스럽게도(!) 시그니처 의심 진단은 검역소에 보관이 됩니다. 검역소에 보관된 의심 파일은 이후에 판다의 DB 업데이트시에 정식 진단에 해당 파일이 포함된 경우 따로 처리가 가능합니다. 이는 Report 항목을 다룰 때 다시 살펴보겠습니다.

시그니처 휴리스틱 진단이 발생했을 때의 팝업창은 아래와 같습니다.

참고로 시그니처 휴리스틱의 진단명은 오로지 Suspicious files 하나 입니다.

진단명 중에서 Generic Trojan 등 Generic이 들어가는 것은 휴리스틱이 아닌 일종의 패턴 진단으로 비슷한 변종들을 하나의 패턴으로 진단하는 정식 진단명입니다. 따라서 명칭은 하나이되 서로 다른 악성코드들이 진단됩니다. 예를 들어 1-1, 1-2, 1-3 같은 변종과 2-1, 2-2, 2-3 같은 서로 다른 악성코드의 변종들이 모두 Generic Trojan 하나의 진단명으로 진단됩니다.

개인적으로 실험해본 결과 의외로 국내 웹에서 유포되는 신종 악성코드나 P2P 등에서 유포되는 다양한 악성코드를 의심진단으로 비교적 잘 진단합니다.
(국내 진출 제품이 아니어서 의심 진단에서 못 잡는 경우 DB에 추가가 잘 안단되는 점이 문제지만 ^^;)

패커 진단 등이 매우 미약하기 때문이 아닐까 하지만 비교적 국내 프로그램들에 대한 오진도 적은 듯 합니다.

(3) 메일 첨부 파일 격리 및 위험 스크립트 실행 차단

① Move potentially dangerous attachments to quarantine
   - 이 기능은 메일에 첨부되는 파일 중 악성코드로서 동작이 가능한 특정 확장자를 가진 경우 정식 진
     단이나 의심 진단을 통한 진단 여부와 상관없이 자동으로 검역소에 격리시키는 기능입니다.

    "Settings..."를 클릭하면 아래와 같이 자동으로 검역소에 격리시킬 파일 종류 또는 확장자를 설정
      할 수 있습니다.

Double Extension(이중 확장자)는 별 다른 것이 아니고 사용자를 속이는 간단한 기법으로 virus.txt.exe처럼 txt 파일인 것처럼 보이게 만든 확장자를 말합니다. 보통 윈도우의 폴더 설정이 알려진 확장자 숨기기 기능을 체크하기 때문에 위와 같이 이중 확장자를 만든 경우 사용자에게 보이는 것은 exe는 사라지고 txt만 보입니다. 매우 간단한 방법이지만 의외로 유용한 방법입니다.

Extensions를 클릭하면 아래와 같이 확장자를 사용자가 지정할 수 있습니다.

     확장자 설정은 "실시간 감시:정식 진단" 포스팅에서 설명하였으니 여기서는 넘어가도록 하겠습니다.

② Block the excution of the Scripts files
   - 특정 스크립트 파일의 실행을 차단합니다. 어떠한 스크립트를 차단하는지에 대한 세부적인 정보는
      없습니다. 웹브라우저의 페이지 로딩에 약간 영향을 미치는 것 같습니다만 기본적으로 활성화시키
      는 것을 권장합니다.

지금까지 판다의 의심 진단 기능에 대해서 다루었습니다. 여기서 빠진 것이 하나 있는데 바로 판다의 클라우딩 진단 기술입니다. 클라우딩 기술은 네트워크를 통해 판다의 데이타 서버를 사용자 시스템과 연결하여 판다의 각종 악성코드 진단 기능이 진단하지 못하는 파일을 진단하는 기능입니다. 클라우딩 기능만 따로 제공하는 무료 제품도 판다에서 제공하고 있는데 2010버전에 이 기술을 포함시켰습니다.

그러나 여기서 클라우딩 기능에 대해서 다루지 않은 이유는 실시간 감시에는 해당 기능이 포함되지 않았기 때문입니다. 이는 판다에서 제공하는 정보가 없기 때문에 개인적인 실험과 몇 가지 단서등을 통해 유추한 결과입니다. 어떠한 이유에서인지 몰라도 판다의 클라우딩 기술은 수동 검사에서만 사용이 가능합니다. 개인적인 추측으로는 서버 연결이 항상 이루어져야 한다는 점이 판다 업체와 특히, 사용자에게 부담이 되지 않았나 합니다. 스페인의 인터넷 상황을 모르지만 국내처럼 광랜이나 ADSL 이상되는 대역폭을 가진 네트워크가 전국에 설치되는 나라는 드물기에 그렇습니다. 또한 오진 문제도 주요 요인이라고 생각합니다.

여하튼 클라우딩 기능에 대해서는 다음 포스팅인 수동 검사에서 다루어보겠습니다.

이상으로 판다의 "실시간 감시 : 의심 진단" 에 대한 포스팅을 마칩니다.

링크된 게시물의 하단 부분을 참고 바랍니다. [본문으로]

Free USB Safely Remove v4.1 10,000개 라이센스 배포

물여우 — Sun, 27 Sep 2009 20:36:00 +0900

이전에 Free USB Safely Remove 4.1버전에 대한 프로모션 소식을 전해드렸습니다.

Free USB Safely Remove v4.1 평생 무료 프로모션

이번에는 시간 제한도 없이 만 개의 라이센스를 무료로 배포하는 새로운 프로모션이 열렸습니다. 숫자 제한이 있는 라이센스 배포이니 이전 프로모션에서 라이센스를 얻지 못한 분이 계시다면 얼른 라이센스 취득에 도전해 보시기 바랍니다. :) 오늘 중으로 끝날 것 같네요.

이벤트 페이지는 여기를 클릭하세요~

이벤트 페이지 모습

BattleStar Galatica (배틀스타 갈락티카, 2003~2009)

물여우 — Sat, 26 Sep 2009 01:12:10 +0900

기계들의 공격에서 살아난 소수의 인류가 머나먼 곳에 있는 '지구'를 찾아 떠나는 험난한 과정을 그린 SF대작 "배틀스타 갈락티카(BattleStar Galatica)" 입니다.

기본 스토리는 이렇습니다. 머나먼 과거 파프리카라는 행성에 정착한 12부족은 차츰 문명을 키워나가다가 '사일론'이라는 로봇을 개발하게 됩니다. 인간들이 하기 싫어하거나 위험한 일들을 맡아 하는 사일론들은 차츰 지능이 발달되면서 자신들의 정체성과 인간들의 처우에 대해 불만을 가지게 됩니다.

결국 사일론들은 반란을 일으키게되고 인류와 치열한 싸움을 벌이게됩니다. 치열한 싸움 끝에 사일론들의 일방적인 휴전 선포로 평화를 찾은 듯 하였지만, 기계의 모습이 아닌 인류의 모습을 한 사일론들의 재침공으로 인해 파프리카는 멸망하게 됩니다.

사일론들의 공격에서 간신히 살아남은 5만여 명의 인류는 생존을 위해 인류의 다른 부족, 13번째 부족이 사는 지구를 향해 항해를 시작합니다. 항해 과정에서 인류를 말살시키려는 사일론들의 추적과 인류 사회 내부에서 벌어지는 갖가지 일들이 주요 배틀스타 갤럭티카의 주요 스토리입니다.

배틀스타 갈락티카를 단순한 전쟁 SF로 생각하셨다면 오산입니다. 배틀스타 갈락티카는 정치, 종교, 사회, 인간 등등 파프리카를 향해 가는 항해 과정 속에서 일어나는 일들을 통해 인류 사회를 집약해서 다루고 있다고 볼 수 있을 만큼 방대한 스케일의 작품입니다. 어떤 분들은 배틀스타 갈락티카에서 SF는 껍데기라고도 이야기합니다. 또한, 인류 형태의 사일론을 비롯해서 여러 특색있는 등장 인물들과 그 인물들에 대한 세밀한 심리 묘사들이 또 다시 이 작품을 보게되는 원동력 같습니다.

다소 특이하게도 배틀스타 갈락티카는 'Pilot' 개념의 0시즌이 존재합니다. 파일럿은 드라마가 처음 시작할 때 '이런 드라마입니다~'라고 보여주는 것으로서 보통 에피소드 하나를 가지고 만드는데 스케일 크게 아예 8개의 에피소드를 가진 시즌 하나를 만들었습니다. 물론 실제 0시즌 존재 이유는 다릅니다만 결과적으로 그렇게 되었습니다. ^^ 0시즌은 사일론의 재침공과 지구를 목표로 해서 항해를 시작하기까지의 과정을 다룹니다.

3시즌과 4시즌 사이에 나온 RAZOR라는 극장판과 0시즌부터 4시즌까지 모두 5시즌으로 종결된 작품입니다. 스케일에 비해 그리 길지 않은 에피소드인지라 마지막 결말 에피소드에서는 다소 아쉬움이 남았던 작품입니다.

※ 참고 : 이 작품도 미국 드라마 작가 파업으로 인해 마지막 시즌인 4시즌이 두 동강 났습니다.

다룰게 워낙 많은 작품인지라 따로 이야기를 하기는 어렵습니다만 결말에서 인류를 새로운 지구로 오게끔 이끌어준 존재와 인류 역사에 대한 인식이 특히 기억에 남습니다. 이 부분은 마지막 에피소드의 마지막의 마지막 대사까지봐야 정확한 내용을 볼 수 있습니다.

역사의 흐름은 원형으로 무한히 반복되는 것인가 아니면 반복되는 듯 보이지만 나선형 형태처럼 이전과는 다른 모습을 보여줄 수 있고 때로는 아예 다른 방향으로 바뀔 수 있는 것인가? 과연 유일신 형태의 절대적 존재는 존재하는 것인가? 하는 물음에 대한 답은 마지막의 마지막에서 반전이 있습니다.

추천도 : 한 동안 보기 힘들 SF 대작 (★★★★★)

티스토리 초대장을 드립니다!!! (종료)

물여우 — Mon, 21 Sep 2009 21:42:17 +0900

티스토리 초대장이 조금 쌓였네요. 5장 정도 여유가 생겼군요!!

네이버나 다음 블로그 등에서 티스토리로 보금자리를 옮겨보고 싶은 분들이 있으시면 댓글에 E-mail을 남겨주시기 바랍니다. 혹시라도 스팸이 붙을지 모르니 비밀 댓글로 달아주세요~

블로그를 한 번도 안해보셨지만 과감하게 도전해 보겠다 하시는 분들도 댓글 달아주시기 바랍니다. ^^

(1)	개요 및 설치 환경
(2)	메인 화면 및 트레이 UI
(3)	악성코드 진단/치료 - 실시간 시스템 감시 : ① 정식 진단 ② 의심 진단 - 수동 검사
(4)	방화벽(Firewall) : ① 네트워크 규칙 설정 ② 네트워크 모니터 등 기타 기능

Program	Detection Rate (%)
a-squared	99.8%
Online Armor ++	99.8%
G Data	99.6%
Avira	99.5%
Ikarus	99.4%
Panda	98.9%
Norton	98.8%
Avast	98.7%*
McAfee	98.7%
BitDefender	98.6%*
eScan	98.6%
F-Secure	98.5%
Nod32	98.3%
Kaspersky	98.2%
Comodo	98.1%
AVG	97.4%
F-Prot	95.7%
Twister	94.6%
Sophos	94.4%
Norman	93.2%
Spy Emergency	66.5%